Diese Schwachstellen haben in der ersten Jahreshälfte für Schlagzeilen gesorgt

Das nationale Zentrum für Cybersicherheit (NCSC) hat seinen aktuellen Halbjahresbericht vorgelegt. Darin gibt es einen Überblick über seine eigenen Aktivitäten sowie Ereignisse im Bereich der Cybersicherheit im ersten halbjahr 2021.

Meldungen zu Ransomware und Phishing steigen an

Bei der vom NCSC geführten Meldestelle für Cybervorfälle glühten die Leitungen. 10234 Meldungen gingen insgesamt ein - fast doppelt so viele wie in der Vorjahresperiode, und 85 Prozent mehr als im 2. Halbjahr 2020. Gründe für diese starke Zunahme seien einerseits die Einführung des neuen Meldeformulars des NCSC und dessen prominente Platzierung auf der Startseite. Andererseits sei die hohe Zahl auch auf mehrere grosse Angriffswellen mittels Fake-Sextortion oder Phishing zurückzuführen, heisst es im Bericht.

(Source: NCSC)

Die meisten (5526) Meldungen betrafen, wie auch schon in der letzten Bilanz, verschiedene Betrugsformen. Fake-Sextortion wurde in dieser Kategorie am häufigsten gemeldet, nämlich 1351 Mal, gefolgt von Vorschussbetrug mit 1284 Meldungen. Letzterer war in den vorangehenden beiden Semestern noch das am häufigsten gemeldete Phänomen.

Stark zugenommen haben Meldungen zu Phishing. 2439 gingen im 1. Halbjahr 2021 beim NCSC ein - fast fünf Mal mehr als die 497 Meldungen der Vorjahresperiode. Grund für die Zunahme seien gemeldete E-Mails und SMS mit gefälschten Paketbenachrichtigungen, deren Versand in den vergangenen Monaten stark zugenommen habe.

Weiter hebt das NCSC die Zunahme der Ransomware-Meldungen hervor, von 32 Fällen im 1. Halbjahr 2020 auf 94 Anfang 2021. Besonders die Ransomware "Qlocker", welche im Frühling massenweise Inhalte auf QNAP-Servern verschlüsselte, liess die Leitungen beim NCSC heiss laufen.

26 Mal erhielt das NCSC Meldungen zu DDoS-Attacken. Betroffen seien Organisationen aus verschiedenen Bereichen gewesen, darunter Finanzen, Gesundheit und Luftfahrt. Angegriffen worden seien auch mehrere Internetdienstanbieter. "Die Angriffe hatten jedoch dank den Abwehrmassnahmen der Provider kaum Auswirkungen für deren Kundschaft", schreibt das NCSC, nennt aber eine Ausnahme: Aufgrund einer DDoS-Attacke auf deren Hostinganbieter, wurden die Websites der Stadt und des Kantons St. Gallen "für mehrere Stunden lahmgelegt". Es sollte nicht der einzige Angriff auf den Hostinganbieter dieses Jahr bleiben, wie Sie hier lesen können.

(Source: NCSC)

Populäre Schwachstellen, und welche Lehren man daraus ziehen kann

In einem Schwerpunktkapitel widmet sich der NCSC-Halbjahresbericht dem Thema Schwachstellen. Das NCSC stellt darin ein paar der Schwachstellen vor, die im 1. Halbjahr 2021 besonders populär waren, oft ergänzt durch dazu passende Empfehlungen.

So sah sich Tech-Gigant Microsoft Anfang März gezwungen, ausserplanmässige Sicherheits-Patches für Microsoft Exchange zu veröffentlichen. Die darin entdeckte Sicherheitslücke wurde bereits aktiv von Cyberkriminellen ausgenutzt. Zum Schutz von Exchange-Servern erteilt das NCSC eine ganze Liste von Empfehlungen, darunter:

• Exchange-Server dürfen nicht direkt aus dem Internet erreichbar sein. Schalten Sie entweder eine WAF (Web Application Firewall) vor oder setzen Sie einen SMTP-Filtering-Proxy vor den Exchange-Server.

• Erstellen Sie einen Prozess zur notfallmässigen Einspielung von Sicherheitsupdates und stellen Sie sicher, dass Updates innerhalb weniger Stunden eingespielt werden können. Dies gilt in erster Linie für alle Systeme, die direkt vom Internet aus erreichbar sind.

• Stellen Sie durch ein Life Cycle Management sicher, dass Sie nur Versionen verwenden, die vom Hersteller (vorliegend Microsoft) mit Sicherheitsupdates versorgt werden.

Im April warnte das NCSC vor Zero-Day-Lücken in den Sicherheitslösungen Sonicwall und Pulse Secure. "Schwachstellen in Produkten, die Fernzugriffe ermöglichen, bieten aufgrund ihrer Funktionalität sehr grosses Missbrauchspotenzial", schreibt die Behörde dazu. Sie empfiehlt: "Für alle Logins sollte eine Zwei-Faktor-Authentisierung eingerichtet werden. Einfache Logins mit lediglich einem Faktor (Benutzername-Passwort-Kombination) bieten zu wenig Schutz und sollten technisch unterbunden werden."

Auch die Schwachstellen im Windows-Druckersystem, die unter dem Namen "PrintNightmare" bekannt wurden, fehlen nicht in der Liste. Um die Angriffsfläche zu reduzieren, empfiehlt das NCSC, nicht benötigte Systemdienste grundsätzlich zu deaktivieren. "Dies sollte im Rahmen von Prozessen zur Härtung von Systemen bei deren Installation vorgesehen werden." Der "PrintNightmare" machte erstmals Ende Frühling 2021 die Runde. Doch auch diese Geschichte fand seither noch mehrere Fortsetzungen.

Was der Bund gegen Schwachstellen unternimmt

"Durch das Aufkommen von leicht zugänglichen und nutzbaren kriminellen Diensten (Crimeware-as-a-Service) und die riesige Menge an im Umlauf befindlicher Software sind Sicherheitslücken in nur wenigen Jahren zum Albtraum von IT-Sicherheitsverantwortlichen weltweit geworden", fasst das NCSC die Lage zusammen. Man habe eine eigene Abteilung gegründet, die sich mit dem Thema Schwachstellen befasse. Drei ihrer Ziele lauten:

• Information, Sensibilisierung und Unterstützung der Öffentlichkeit über die im Umlauf befindlichen kritischen Sicherheitslücken und die entsprechenden Sicherheitsmassnahmen.

• Bereitstellung einer Bug-Bounty-Plattform für staatliche Stellen, um mögliche Sicherheitslücken in staatlichen Computernetzen zu ermitteln.

• Eröffnung einer Plattform für die koordinierte Offenlegung von Sicherheitslücken (Coordinated Vulnerability Disclosure), um Entdeckerinnen und Entdeckern von Sicherheitslücken die Möglichkeit zu geben, ihre Erkenntnisse anonym an eine staatliche Stelle zu melden.

Der Bericht weist auf das bereits erfolgte Bug-Bounty-Pilotprojekt des Bundes hin. Auch erwähnt werden die Sicherheitstests des Schweizerischen Covid-Zertifikats.

Der vollständige Halbjahresbericht steht auf der Website des NCSC zum Download bereit.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.